WordPress Contact Form 7 Datepicker插件中存在一个存储型的跨站脚本漏洞，攻击者可利用该漏洞创建恶意管理员账户或控制管理员会话。使用该插件的WordPress网站所有者应尽快移除或禁用该插件，以防止攻击。

Contact Form 7 Datepicker是个停止维护的插件，设计用于集成和添加日期字段到WordPress Contact Form 7插件的用户界面中，Contact Form 7插件是个联系人表单管理插件，超过500万个网站安装了该插件。

不过，Contact Form 7插件未受到Contact Form 7 Datepicker中发现的跨站脚本漏洞的影响，因此，当前数百万使用该插件的网站是安全的。

Defiant公司的Wordfence QA工程师Ram Gall4月1日报告了该跨站脚本漏洞，同日WordPress插件团队从WordPress插件库中移除了Contact Form 7 Datepicker。

该插件背后的开发团队表示，该插件已不再维护，从WordPress库中移除该插件，他们没有意见。

然而，根据Wayback Machine网站在1月份捕获的一个网页快照来看，在被移除之前，该插件已经有超过10万次主动安装。

Gall解释称，已登录的、具有最小权限的攻击者，例如订阅用户，可通过发送含有恶意JavaScript代码的请求，将恶意代码存储在该插件的设置中，利用该漏洞执行跨站脚本攻击。

“下一次当授权用户创建或修改联系人表单时，存储的JavaScript代码就会在他们的浏览器中执行，这可被用于窃取管理员会话，甚或创建恶意管理员用户。”

所有安装了Contact Form 7 Datepicker插件的网站都应立即移除或禁用该插件。

并且，由于开发人员已经停止维护该插件，很大可能永远不会有漏洞补丁，这意味着如果网站使用了该插件应寻找替代方案。

本文源自Bleeping Computer；转载请注明出处。